 |
|
28.11.2017, 01:56
|
|
Постоянный
Регистрация: 11.12.2017
Сообщений: 512
С нами:
4432095
Репутация:
0
|
|
Не много тем про CTF, а ведь многие именно благодаря этим соревнованиям, начинают интересоваться ИБ и хакингом.
Поэтому предлагаю, делится решениями нестандартных тасков, да и в общем продвигаться в этой области на форуме.
В перспективе собрать командуCodeby, можно даже несколько, уверен команды будут сильными, неплохая возможность колесить по миру и собирать трофеи. Также в перспективе организовать свои CTF игры. Может кому-то покажется, что за детский сад, но было бы не плохо!
Что вы думаете по этому поводу? Может есть что добавить или обхаять?
Ну учитывая, что желающих быть в тусовке CTF, достаточно... То, предлагаю начать со сбора команды.
Для тех, кто имеет хорошие навыки в ИБ, но считает CTF всего лишь тратой времени, приведу пару примеров, которые помогут это опровергнуть: - Соревновательный момент
- Новые, интересные знакомства
- Путешествие по всему миру
- Достаточно высокие призы (Например, недавно проходил CTFZone, Российский и главный приз был 10к USD и много других плюшек, также не маленькие призы даже в онлайн, например 16го состоится WhiteHat Grand Prix 2017 , где за первое место 10к USD)
- Постоянное внимание от крутых компаний в области ИБ (но это не всех может заинтересовать)
- Прокачивание скилла в ИБ
- О нашем любимом Antichat узнают везде ))
- И наконец участие в DEFCON'е в Лас-Вегасе
Можно найти и еще плюсы, но это краткий список.
Итак, тех, кто хочет быть в команде, а она у нас будет из 7 человек. В перспективе будем рассматривать и 2ю и 3ю, если желающих будет много.
Немного о вашем опыте в CTF и желании участия: - Слышали ли вообще о CTF. Сколько лет/месяцев этим занимаетесь.
- Какие категории тасков больше всего любите решать.
- Что лучше всего делаете в области ИБ.
Может не все нужные моменты выделил, если что подправьте. Всем Удачи!
Участники команды ( CTFtime.org / rororor ), на данный момент:
|
|
|
05.12.2017, 17:15
|
|
Новичок
Регистрация: 14.11.2017
Сообщений: 0
С нами:
4471185
Репутация:
0
|
|
r0hack сказал(а):
- Слышали ли вообще о CTF. Сколько лет/месяцев этим занимаетесь.
Какие категории тасков больше всего любите решать.
Что лучше всего делаете в области ИБ.
Желания много, умения - мало...
С СTF познакомился в этом году. Для работы необходимо поднимать навыки пентеста, да и просто понравился формат. Пока проходил(пытался пройти) по гайдам пентеститлаб, overthewire, metasploitable.
На участие в какой-либо команде не претендую, но был бы очень признателен, если бы Вы создали ветку с обсуждениями и walkthrough предстоящих соревнований. Постфактум, разумеется.
|
|
|
|
05.12.2017, 17:28
|
|
Участник форума
Регистрация: 04.11.2017
Сообщений: 299
С нами:
4485744
Репутация:
0
|
|
Bidjo111 сказал(а):
Желания много, умения - мало...
С СTF познакомился в этом году. Для работы необходимо поднимать навыки пентеста, да и просто понравился формат. Пока проходил(пытался пройти) по гайдам пентеститлаб, overthewire, metasploitable.
На участие в какой-либо команде не претендую, но был бы очень признателен, если бы Вы создали ветку с обсуждениями и walkthrough предстоящих соревнований. Постфактум, разумеется.
В скором времени будет открыта школа Antichat)
Я уже упоминал на форуме, что обучится вы можете и по online курсам.
1. Stepic
2. Udemy
3. Cybrary
И еще куча.
|
|
|
|
05.12.2017, 17:40
|
|
Новичок
Регистрация: 14.11.2017
Сообщений: 0
С нами:
4471185
Репутация:
0
|
|
AL04E сказал(а):
В скором времени будет открыта школа Antichat)
Я уже упоминал на форуме, что обучится вы можете и по online курсам.
Насчет курсов - в процессе.
Ждем школу!
|
|
|
|
05.12.2017, 18:48
|
|
Постоянный
Регистрация: 11.12.2017
Сообщений: 512
С нами:
4432095
Репутация:
0
|
|
Bidjo111 сказал(а):
Желания много, умения - мало...
С СTF познакомился в этом году. Для работы необходимо поднимать навыки пентеста, да и просто понравился формат. Пока проходил(пытался пройти) по гайдам пентеститлаб, overthewire, metasploitable.
На участие в какой-либо команде не претендую, но был бы очень признателен, если бы Вы создали ветку с обсуждениями и walkthrough предстоящих соревнований. Постфактум, разумеется.
Играя с командой можно расти в разы быстрее.
Цель сбора команды Antichat, не только собрать и гонять на CTF`ах, а также делать свои райтапы и гайды по решению тех или иных видов задач.
asdffs сказал(а):
всем хай. ещё набираете народ в команду? я работаю старшим инжинером по безопасности уже несколько лет. в СТФ играю 4 года подряд. больше всего люблю пвн и реверс, но так же силён в вебе. по работе приходилось работать с разными языками и софтом.
у меня есть команда, но так себе) когда соревнуешься хочется всётаки чтобы команда тоже тянула
Привет, да , конечно еще собираем. Походу дела в первом сообщении буду выкладывать, тех, кто уже в команде.
[doublepost=1512487463,1512487316][/doublepost]Думаю стоит написать и о себе в стф. Играю уже 2ой год, если идет игра все остальные дела на автомате приходится откладывать)). Больше всего гоняю с вебом, но также с форезикой и всякими реконами и мисками в случае необходимости.
Если соберется хотя бы человек 4, то планируем уже участвовать на CTF 16го декабря https://grandprix.whitehatvn.com/
|
|
|
|
05.12.2017, 23:24
|
|
Новичок
Регистрация: 14.11.2017
Сообщений: 8
С нами:
4471267
Репутация:
0
|
|
Столкнулся с этим заданием на местном ctf, но, к сожалению, не смог его до конца раскрутить..
На web сервере имеется сайт. На сайте есть форма для ввода пароля и загрузки файла. Файл загружается на сервер, только в случае правильного ввода пароля.. изначально пытался перебрать пароли по имеющимся в Kali словарям, но, увы, безуспешно..
затем обнаружил через burpsuite, что в поле cookie содержится переменная вида =/../../etc/passwd. Вбив значение данной переменной в url браузера, был получен доступ к имеющимся пользователям.. однако обращение к /etc/shadow тем же образом не прокатило.
Кроме того, обнаружил, что эта же переменная уязвима к xss, при определенных махинациях, для обхода фильтрации.. однако как использовать эту уязвимость для дальнейшего проникновения я не придумал..
возможно кто-то подскажет возможные варианты развития события или кто-то уже сталкивался с аналогичными заданиями.. буду признателен)))
|
|
|
|
06.12.2017, 11:19
|
|
Постоянный
Регистрация: 11.12.2017
Сообщений: 512
С нами:
4432095
Репутация:
0
|
|
Bidjo111 сказал(а):
Я так понял, участие в этом конкретном ctf полностью открытое. Может есть кто из новичков, кто бы хотел себя попробовать? Организовали бы еще одну команду...
Давай тебя тоже в основную пока включим, так как 2я или 3я еще не скоро соберутся. А там уже посмотрим.
В каких категориях лучше всего ориентируешься ?
|
|
|
|
06.12.2017, 11:28
|
|
Новичок
Регистрация: 14.11.2017
Сообщений: 8
С нами:
4471267
Репутация:
0
|
|
asdffs сказал(а):
смотря как апликуха выдаёт файл, можно попробовать залезть через /proc/self/environ предварительно изменив user-agent на инжект веб шела аналогичный способ будет через логи (веб, ссх, и тд)
Как вариант) возможно это сработало бы..
r0hack сказал(а):
И сам таск уже не активен ?
Нет
|
|
|
|
06.12.2017, 11:30
|
|
Новичок
Регистрация: 14.11.2017
Сообщений: 0
С нами:
4471185
Репутация:
0
|
|
r0hack сказал(а):
Давай тебя тоже в основную пока включим, так как 2я или 3я еще не скоро соберутся. А там уже посмотрим.
В каких категориях лучше всего ориентируешься ?
Как бы это поделикатнее...
Пока не могу сказать, что в какой-то лучше. Знаю, что в крипте и реверсе пока полный ноль...
PingVinich сказал(а):
Не думаю, что стоит набирать первых встречных. Рекомендую перенести тему в грей секцию.
Разумно. Но оставьте ветку для новичков.
|
|
|
|
06.12.2017, 19:14
|
|
Новичок
Регистрация: 19.03.2017
Сообщений: 0
С нами:
4817306
Репутация:
0
|
|
Не думаю, что стоит набирать первых встречных. Рекомендую перенести тему в грей секцию.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
